De creditcard-gegevens van kaarthouders in Nederland liggen zo goed als 'open en bloot op straat'. Tenminste, dat concludeert Tripwire naar aanleiding van een onderzoek waarin is gekeken in hoeverre Nederlandse betalings-verwerkers hun zaken op orde hebben op het gebied van veilige creditcard-betalingen. De wereldwijde verstrekker van ICT-beveiliging voor financiële instanties zegt dat 92 procent van de verwerkingsorganisaties in ons land, ook betalingsbedrijven die actief zijn in de horeca, niet voldoet aan de eisen.
*Standaard niet gehaald*
De normen en waarden voor veilig betalen met de creditcard zijn onder meer vastgelegd in de zogeheten 'Payment Card Industry Data Security Sandard' (PCI DSS). Alle organisaties en bedrijven die creditcardbetalingen verwerken moeten sinds eind 2009 voldoen aan deze eisen (compliant zijn). Uit het onderzoek blijkt dat slechts 8 procent van de ondervraagde organisaties in Nederland voldoet aan de genoemde standaard.
*Onderzoek*
*Wie is verantwoordelijk?*
Uit het onderzoek blijkt dat 48 procent van alle ondervraagden zegt dat ze niet weten of ze aan de voorwaarden van de PCI SSD voldoen, of dat ze niet precies weten wat de voorwaarden zijn. Daarbij zegt 36 procent te weten dat ze niet compliant zijn aan de regels en dat men ook niet van plan is te worden. Het merendeel van de betalingsverwerkers vindt dat de verantwoordelijkheid voor de beveiliging van creditcardtransacties en de daarmee gemoeide data een taak is van de creditcardmaatschappijen (75 procent) en banken (60 procent).
*Beboeten*
Creditcardmaatschappijen als Visa en MasterCard kunnen restaurants en hotels beboeten, net als banken dat mogen, en ze van hun diensten afsluiten wanneer niet aan de eisen is voldaan. Volgens Tripwire heeft 35% van de ondervraagde bedrijven een waarschuwingsbrief van hun bank of creditcardmaatschappij in huis gekregen om de PCI DSS door te voeren. In de Verenigde Staten is de standaard al volledig doorgevoerd en worden per overtreding boetes uitgedeeld tot 100.000 dollar.
*Veilige data*
"Omdat banken zelf boetes moeten gaan betalen voor aangesloten klanten dringen ze aan. En dan komt de helft van de bedrijven wel in actie", zegt Rob Warmack, directeur EMEA bij Tripwire. "Kaarthouderinformatie loopt een groot risico op aanvallen en ernstige gevallen van diefstal en misbruik. Iedere organisatie die gebruikmaakt van deze vorm van betaling, van verzekeringsbedrijf tot financiële dienstverleners en van retail tot hospitality, heeft de verantwoordelijkheid om de data van haar klanten veilig te bewaren. De PCI DSS standaard is een algemeen aanvaarde veiligheidsstandaard die nodig is om deze security te verstrekken. Er is een groeiend besef van het belang van de uitvoering van de PCI DSS, maar het aantal Nederlandse organisaties dat compliant is, is nog steeds onaanvaardbaar laag. Het is zeer belangrijk dat organisaties de gevaren te herkennen en reageren op deze risico's.
*Verwerker gegevens verantwoordelijk*
Op de vraag wie er nu verantwoordelijk is binnen de gastvrijheidsbranche zegt Warmack: "Als je creditcardgegevens opslaat en transactiegegevens opslaat dan ben je verantwoordelijk. Als gasten bij jouw de rekening betalen via een betaalsysteem van een externe partij, dan ben je als horecaondernemer niet verantwoordelijk. Als je als hotelier of restaurateur bij een kamer- of tafelreservering een creditcardnummer vraagt 'voor het geval dat', dan ben je wel verantwoordelijk."
~Frank Lindner~
'Creditcardgegevens in Nederland onveilig'
1 maart 2011
